Ricevere una comunicazione dall’Agenzia delle Entrate di solito già non fa molto piacere (perché generalmente c’è qualcosa da pagare), ma le cose peggiorano se quella che sembra un’email ufficiale è in realtà un ransomware.
Come segnala il CERT-PA si va infatti diffondendo in Italia il ransomware Maze che si presenta proprio cercando di riprodurre l’aspetto di una comunicazione ufficiale proveniente dall’Agenzia delle Entrate, copiando loghi e riferimenti.
Non solo: per cercare di sembrare più verosimile, il messaggio che distribuisce il malware si appoggia a tre domini, registrati lo scorso 25 ottobre, che a un occhio distratto potrebbero sembrare legittimi: si tratta di agenziaentrateinformazioni.icu, agenziaentrate.icu e agenziainformazioni.icu.
Come sempre capita in questi casi, il pericolo non sta nel messaggio in sé, che peraltro è scritto in un italiano corretto e non sgrammaticato come succede molto spesso, ma nell’allegato: un file di Word dal nome Verdi.doc che contiene una macro pericolosa, il cui compito è scaricare il ransomware vero e proprio.
A parte il millantato legame con l’Agenzia delle Entrate, Maze lavora come ogni altro ransomware: cripta il contenuto del disco rigido e richiede un pagamento in Bitcoin per fornire la chiave tramite la quale decifrare i file.
Per difendersi, gli utenti possono innanzitutto essere equipaggiato con un buon antivirus, quindi ricordarsi di effettuare tutti gli aggiornamenti del sistema operativo e di Flash Player.
Maze sfrutta infatti una vulnerabilità nel software di Adobe per poter eseguire le proprie funzioni.
È inoltre importante non eseguire mai le macro incluse nei documenti che provengono da Internet (non a caso Office ne disabilita l’esecuzione come impostazione predefinita) e, naturalmente, verificare che ogni email arrivi veramente dal mittente indicato: nel caso specifico, i domini usati non fanno capo all’Agenzia delle Entrate.
Al momento in cui scriviamo non esiste uno strumento di decrittazione elaborato dagli esperti di sicurezza: se si possiede un backup aggiornato dei propri dati si può evitare di sottostare al ricatto formattando il PC infetto e ripartendo dal backup stesso.
